所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
密钥管理

密钥管理

更新WCC密钥

默认情况下,WCC(Web Capacity Component)有一个初始密钥。为了提高系统安全性,建议您定期运行脚本更新WCC密钥。请在业务量小的时候进行操作。

前提条件
  • 已准备好一台Windows操作系统的维护终端,且该维护终端能够与Karbor软件所在的节点进行通信。
  • 已获取djmanager帐户的密码和root帐户的密码。
  • 已准备跨平台远程访问工具,如PuTTY。
背景信息

WCC密钥包括工作密钥和根密钥,通常需要定期更新工作密钥,可选择性更新根密钥。

操作步骤
  1. 使用PuTTY,以“CSBS_Service”字段对应的IP地址登录任意一个Service-CSBS节点。

    默认帐号:djmanager,默认密码:CloudService@123!

  2. 执行su root命令,输入root帐户的密码,切换至root帐户。

    root帐户的默认密码为Cloud12#$

  3. 执行以下命令,打开“application.properties”文件。

    vi /opt/fusionplatform/data/openstack/config/application.properties

  4. 按“i”进入编辑模式,参考以下内容编辑文件。

    • 更新工作密钥:添加“crypt_key_lifetime_seconds”配置项,并将值设置为“1000”。
    • 更新根密钥:将“crypt_rootkey_update_enabled”配置项的值设置为“true”;将“crypt_rootkey_lifetime_seconds”配置项的值设置为“1000”。
    [root@karbor1 ~]# vi /opt/fusionplatform/data/openstack/config/application.properties 
     
    crypt_keygen_rootkey_components=rkcx;r;key/rd 
    crypt_key_lifetime_seconds=1000 
    crypt_rootkey_update_enabled=true 
    crypt_rootkey_lifetime_seconds=1000 
    crypt_keystore=k.xml 
    ~                                                                                          
    ~                                                                                          
    ~                                                                                          
    ~                                                                                          
     
    -- INSERT --

  5. 编辑完成后,按“Esc”,输入:wq,按“Enter”保存退出。
  6. 执行以下命令,重启Karbor服务,使配置生效。

    DJserviceControl restart

  7. 重复步骤 1步骤 6,更新其他节点的WCC密钥。
后续处理

更新完成后,请通过步骤 3步骤 6将每个节点“application.properties”文件恢复成以下设置以免影响业务运行。

[root@karbor1 ~]# vi /opt/fusionplatform/data/openstack/config/application.properties

crypt_keygen_rootkey_components=rkcx;r;key/rd
crypt_rootkey_update_enabled=false
crypt_rootkey_lifetime_seconds=1000
crypt_keystore=k.xml
~                                                                                         
~                                                                                         
~                                                                                         
~                                                                                         

-- INSERT --

更新KMC主密钥

默认情况下,KMC(Key Management Center)有一个初始主密钥。为了提高系统安全性,建议您定期运行脚本更新KMC主密钥。更新操作不会影响系统运行。

前提条件
  • 已准备好一台Windows操作系统的维护终端,且该维护终端能够与Karbor软件所在的节点进行通信。
  • 已获取djmanager帐户的密码。
  • 已准备跨平台远程访问工具,如PuTTY。
操作步骤
  1. 使用PuTTY,以“CSBS_Service”字段对应的IP地址登录任意一个Service-CSBS节点。

    默认帐号:djmanager,默认密码:CloudService@123!

  2. 执行以下命令,更新KMC主密钥。

    sh /opt/huawei/dj/bin/kmc/kmc_update_master_key.sh -s
    说明:

    三节点集群部署时,在任意单个节点中运行更新脚本即可,系统自动将更新后的主密钥同步到其他两个节点。

    sh /opt/huawei/dj/bin/kmc/kmc_update_master_key.sh -s 
    [INFO] Generate KMC master key success. 
    [INFO] Update KMC master key success.

  3. 备份“/opt/huawei/dj/paas”目录中的所有文件,用于系统进行灾难恢复。

    说明:

    三节点集群部署时,请在三个节点上进行操作。

翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:28119

下载量:784

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页